NIS 2. Odpírači kyberbezpečnosti, třeste se

Články upozorňující na potřebu zabývat se kybernetickou bezpečností vychází pravidelně několikrát do týdne již několik posledních let. Kybernetická bezpečnost hraje významnou roli takřka v každé krizi současné doby.

advokát, Chrenek, Toman, Kotrba advokátní kancelář spol. s r.o.
ŠT
Chrenek, Toman, Kotrba advokátní kancelář spol. s r.o.
Foto: Fotolia

Covid: hackeři útočí na nezabezpečené nemocnice. Ukrajina: ruští hackeři útočí na vše demokratické. Hlášení cen paliv: hackeři zaútočili na aplikaci ministerstva financí. I přesto, bohužel, mnozí význam kyberbezpečnosti podceňují. A právě pro ně tu je z dílny EU nová regulace, kterou se doslova nevyplatí ignorovat.

Ve středu rozsáhlých úprav v oblasti kyberbezpečnosti a digitalizace připravovaných v Evropské unii vynikají zejména tři návrhy právních předpisů. Ty jsou označované zkratkami NIS2, DMA (akt o digitálních trzích) [1], a DSA (akt o digitálních službách) [2] a dle předpokladů se dotknou až tisíců nových subjektů. Je však nutno říct, že nejde o jediné předpisy, které do oblasti kybernetické bezpečnosti mají napříště zasahovat [3]. Tento článek se ale bude věnovat primárně návrhu směrnice NIS2 [4], a to z pohledu dotčených subjektů, na něž má návrh dopadat.

Návrh směrnice NIS2 má za cíl rozšířit oblast působnosti aktuálně platné a účinné směrnice o opatřeních pro vysokou společnou úroveň bezpečnosti sítí a informačních systémů celé EU (směrnice NIS) [5]. NIS2 má NIS přizpůsobit aktuálním potřebám vyplývajícím ze stále rychlejší digitální transformace ve společnosti, neboť úprava vycházející z NIS se dnes jeví jako nedostatečná a nejednotná. Návrh směrnice NIS2 by měl tvořit jednu z částí opatření připravovaných s cílem dosáhnout lepší kybernetické odolnosti a schopnosti reagovat na incidenty v oblasti kybernetické bezpečnosti. Cílem návrhu je také sjednocení přístupu ke kybernetické bezpečnosti napříč členskými státy EU, neboť v současné době existují mezi členskými zeměmi značné rozdíly v přístupu k této problematice. Na české legislativní úrovni se v návaznosti na směrnici NIS2 předpokládá rozšíření působnosti zákona o kybernetické bezpečnosti.

Jaké hlavní změny návrh směrnice NIS2 přináší?

V první řadě jde o rozšíření okruhu subjektů, na něž se má návrh směrnice NIS2 vztahovat, a to tak, aby bylo zajištěno komplexní pokrytí všech odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu EU.

Dosud se povinnosti dle platné a účinné směrnice NIS vztahují na dvě skupiny subjektů – na tzv. provozovatele základních služeb a poskytovatele digitálních služeb. Tyto subjekty musí ze zákona zavádět fungující systémy kyberbezpečnosti, které mimo jiné zahrnují způsob reakce na kybernetické hrozby nebo řešení nastalých bezpečnostních incidentů. Mezi provozovatele základních služeb se řadí vybrané subjekty z následujících odvětví: 

  • energetika (elektřina, ropa, zemní plyn),
  • doprava (letecká, železniční, vodní, silniční),
  • bankovnictví (úvěrové instituce),
  • infrastruktura finančních trhů,
  • zdravotnictví (zdravotnická zařízení, včetně nemocnic a soukromých klinik),
  • dodávky a rozvody pitné vody (dodavatelé a distributoři),
  • digitální infrastruktura (výměnné uzly internetu (IXP), poskytovatelé služeb systému doménových jmen (DNS), registry internetových domén nejvyšší úrovně (TLD).

K poskytovatelům digitálních služeb, se pak řadí subjekty poskytující služby v následujících oblastech: online tržiště, internetové vyhledávače, služby cloud computingu.

Návrh směrnice NIS2 však dotčené oblasti značně rozšiřuje a zároveň mění i terminologii. Místo dělení subjektů na provozovatele základních služeb a poskytovatele digitálních služeb mají být nově subjekty děleny na základní a důležité, a to v návaznosti na kritickou důležitost daného odvětví/služby a úroveň závislosti jiných odvětví/služeb na daném odvětví. 

Pokud jde o základní subjekty, sem budou řazeny vybrané subjekty označené výše jako provozovatelé základních služeb dle směrnice NIS a k tomu navíc ještě:

  • v odvětví energetiky – pododvětví dálkového vytápění a chlazení a také vodíku (provozovatelé výroby, skladování a přepravy vodíku), 
  • do odvětví zdravotnictví se budou vedle zdravotnických zařízení nově řadit také referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví),
  • vedle odvětví pitné vody se přidává i odvětví odpadní vody,
  • do odvětví digitální infrastruktury se nově řadí také poskytovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, služeb vytvářejících důvěru, veřejných sítí elektronických komunikací, služeb elektronických komunikací (jsou-li jejich služby veřejně dostupné),
  • nově se sem řadí také subjekty v odvětví veřejné správy (ústřední subjekty veřejné správy, orgány samosprávy), a vesmíru (pozemní infrastruktury podporující využívání kosmického prostoru).

Pokud jde o důležité subjekty, sem budou patřit následující odvětví:

  • poštovní a kurýrní služby,
  • nakládání s odpady,
  • výroba, produkce a distribuce chemických látek,
  • výroba, zpracování a distribuce potravin,
  • výroba (zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro; počítačů, elektronických a optických přístrojů a zařízení; elektrických zařízení; strojů a zařízení j.n. (tj.  strojů a zařízení, které mechanicky nebo tepelně působí na materiály nebo na materiálech provádějí výrobní procesy); motorových vozidel; přívěsů a návěsů a ostatních dopravních prostředků a zařízení),
  • digitální služby (poskytovatelé online tržišť, internetových vyhledávačů a platforem služeb sociálních sítí).

Vedle přidání nových odvětví na základě jejich ekonomické a společenské kritičnosti návrh směrnice NIS2 zároveň přidává kritérium velikosti subjektu. Z něho vyplývá, že do působnosti směrnice budou zahrnuty všechny střední a velké podniky ve vybraných odvětvích, na něž se má vztahovat směrnice NIS2. 

Velikost podniku bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení toho, zda je určitá společnost mikropodnik, malý nebo střední podnik, a to následovně:

  • mikropodnik – má méně než 10 zaměstnanců a roční obrat (finanční částka získaná za určité období) nebo rozvahu (výkaz aktiv a pasiv společnosti) do 2.000.000 eur,
  • malý podnik – má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10.000.000 eur,
  • střední podnik – má méně než 250 zaměstnanců a roční obrat do 50.000.000 eur nebo rozvahu do 43.000.000 eur,
  • (pozn. z povahy věci je pak za velký podnik považován ten, který má nad 250 zaměstnanců nebo bilanční suma jeho roční rozvahy přesahuje 43.000.000 eur nebo roční obrat přesahuje 50.000.000 eur).

Návrh směrnice NIS2 by se primárně neměl vztahovat na malé podniky a mikropodniky, nejde-li o subjekty výslovně uvedené v ust. čl. 2 odst. 2 návrhu směrnice NIS2, na které se má úprava směrnice vztáhnout bez ohledu na jejich velikost. Má jít zejména o subjekty, které plní klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb. Patří mezi ně například veřejné sítě elektronických komunikací nebo orgány veřejné správy [6]

Z výše uvedeného je zřejmé, že nová úprava má dopadnout na opravdu rozsáhlý okruh subjektů (očekává se dopad na tisíce nově povinných subjektů). Právě tento aspekt byl, a stále je, jedním z největších předmětů diskusí, které vyvstaly v procesu přijímání směrnice NIS2. Je totiž otázkou, zda lze u všech dotčených subjektů shledávat potřebnou míru společenského, kritického nebo ekonomického významu, aby byla ospravedlnitelná míra finanční a administrativní zátěže, kterou s sebou povinnosti vyplývající z návrhu směrnice jistě přinesou.  

Jaké povinnosti budou na dotčené subjekty kladeny?

V první řadě je v návrhu směrnice NIS2 stanovena povinnost základních subjektů přijmout vhodná, přiměřená a odpovídající technická a organizační opatření k řízení bezpečnostních rizik [7], jimž čelí sítě a informační systémy, které tyto subjekty používají při poskytování svých služeb. Součástí opatření má být i posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů, a to s přihlédnutím jak k technickým, tak netechnickým faktorům [8].    Opatření k řízení rizik v oblasti kybernetické bezpečnosti přitom mají zahrnovat alespoň následující aspekty: 

  • analýzu rizik a politiku bezpečnosti informačních systémů;
  • řešení incidentů (prevence a odhalování incidentů a reakce na ně);
  • řízení kontinuity provozu a krizové řízení;
  • zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli nebo poskytovateli služeb, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb;
  • zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
  • politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;
  • používání kryptografie a šifrování [9]

Opatření nastavená těmito dotčenými subjekty budou schvalovat jejich vedoucí orgány. Tyto také mají dohlížet na jejich uplatňování a nést odpovědnost za neplnění povinností dotčeného subjektu vyplývajících z návrhu směrnice NIS2. Za účelem získání dostatečných znalostí a dovedností v oblasti kybernetické bezpečnosti mají členové vedoucího orgánu pravidelně absolvovat školení [10]

Dále mají mít dotčené subjekty povinnost neprodleně oznamovat každý incident, který má závažný dopad na poskytování jejich služeb. Podle návrhu budou muset hlásit i každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí, a která by mohla mít za následek významný incident [11]. Subjekty by měly informovat příslušné orgány nebo tým CSIRT (computer security incident response team splňující požadavky stanovené v čl. 10 návrhu směrnice NIS2) a v určitých případech i příjemce svých služeb [12]

Jaké mají hrozit pokuty za zanedbání kybernetické bezpečnosti?

Směrnici NIS2 je nutné věnovat pozornost nejen proto, že kybernetická bezpečnost je dnes ohrožována více než kdy dříve, a plnění povinností dle návrhu směrnice má přispět k lepšímu zajišťování kybernetické bezpečnosti na národní i nadnárodní úrovni. Přípravě na NIS2 by se subjekty měly začít věnovat i kvůli tomu, že za nedodržení některých pravidel stanovených směrnicí (zejm. přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti) má hrozit pokuta ve výši minimálně 10.000.000 eur (nebo 2 procenta z celkového celosvětového ročního obratu podniku, ke kterému patřil základní nebo důležitý subjekt v předchozím rozpočtovém roce – podle toho, co je vyšší). [13]

Závěrem je nutné uvést, že navržené znění směrnice NIS2 není dosud finální. NIS2 se aktuálně nachází ve fázi prvního čtení v legislativním procesu a již nyní jsou k dispozici pozměňovací návrhy z dílny Evropského parlamentu a Rady EU, které často chtějí upravit povinnosti popsané výše. Nelze však spoléhat na to, že by výsledná podoba směrnice byla výrazně benevolentnější. Zatím lze „smířlivější“ přístup shledávat pouze v návrhu na snížení minimální pokuty z 10.000.000 eur na 4.000.000 eur u základních subjektů, resp. 2.000.000 eur u důležitých subjektů. I tyto částky by však dotčené subjekty silně pocítily a je tedy jistě lepší se případných pochybení vyvarovat. 


[1] Návrh nařízení Evropského parlamentu a Rady o spravedlivých trzích otevřených hospodářské soutěži v digitálním odvětví (akt o digitálních trzích), cílící na spravedlivé a otevřené digitální trhy.

[2] Návrh nařízení Evropského parlamentu a Rady o jednotném trhu digitálních služeb (akt o digitálních službách) a o změně směrnice 2000/31/ES, směřující k zajištění bezpečného online prostředí ve vztahu ke spotřebitelům.

[3] Z nově připravovaných předpisů lze zmínit zejména směrnici o posílení odolnosti kritických entit (CER), jejímž cílem je posílení odolnosti kritických subjektů vůči fyzickým hrozbám ve velkém počtu sektorů, a nařízení o digitální provozní odolnosti finančního sektoru (DORA), které má stanovit jednotné požadavky na bezpečnost síťových a informačních systémů finančních subjektů potřebných k dosažení vysoké společné úrovně digitální provozní odolnosti.

[4] Návrh směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148.

[5] Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních pro vysokou společnou úroveň bezpečnosti sítí a informačních systémů v celé Unii.

[6] Viz čl. 2 (2) a recitál 9 návrhu směrnice NIS2.

[7] Viz čl. 18 návrhu směrnice NIS2.

[8] Posouzení rizik dodavatelských řetězců u specifických kritických služeb, systémů nebo produktů informačních a komunikačních technologií má být provedeno i koordinovaně, a to členskými státy ve spolupráci s Evropskou komisí a Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA). I zde mají byt reflektována jak technická, tak netechnická kritéria.

[9] Viz čl. 18 návrhu směrnice NIS2.

[10] Viz čl. 17 návrhu směrnice NIS2.

[11] Za významný se považuje ten incident, který dotčenému subjektu způsobil nebo může způsobit podstatné provozní narušení nebo finanční ztráty, a/nebo způsobil nebo může způsobit jiným fyzickým nebo právnickým osobám značné hmotné nebo nehmotné ztráty. 

[12] Viz čl. 20 návrhu směrnice NIS2.

[13] Viz čl. 31 návrhu směrnice NIS2.

 

Hodnocení článku
100%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články